李軍偉

（河北民族師范學(xué)院，河北承德，067000）

關(guān)于電子政務(wù)信息安全體系結(jié)構(gòu)分析

李軍偉

（河北民族師范學(xué)院，河北承德，067000）

本文通過(guò)闡述電子政務(wù)系統(tǒng)的概念，從電子政務(wù)系統(tǒng)目前的信息安全現(xiàn)狀出發(fā)，分析了面臨的風(fēng)險(xiǎn)與威脅，給出了電子政務(wù)系統(tǒng)信息安全體系架構(gòu)所必須具備的保障體系，提高電子政務(wù)系統(tǒng)數(shù)據(jù)的準(zhǔn)確性、完整性、可用性，為政府機(jī)關(guān)部門(mén)的工作做好保障。

電子政務(wù)；安全體系結(jié)構(gòu)

0 引言

隨著信息時(shí)代的到來(lái)，社會(huì)各行各界的工作都在互聯(lián)網(wǎng)的高新信息技術(shù)下變得便利與快捷，政府機(jī)關(guān)部門(mén)也同樣如此，原有的層層審批、紙質(zhì)備案耗時(shí)長(zhǎng)、效率低，電子政務(wù)系統(tǒng)的出現(xiàn)基于互聯(lián)網(wǎng)來(lái)接收、發(fā)布以及處理政府機(jī)關(guān)的涉密信息，使得政府機(jī)關(guān)部門(mén)的辦事效率大幅提高。

1 電子政務(wù)安全體系概述

電子政務(wù)是一個(gè)電子化的虛擬的政府機(jī)關(guān)，基于互聯(lián)網(wǎng)，面向政府機(jī)關(guān)以及社會(huì)公眾，脫離了原有的層層關(guān)卡、書(shū)面審核的方式，更為高效的給人們提供服務(wù)，是一個(gè)綜合的信息服務(wù)與信息處理系統(tǒng)。并且在另一個(gè)層面上，政府機(jī)關(guān)之間以及政府機(jī)關(guān)與社會(huì)各界之間的溝通也可以通過(guò)電子渠道來(lái)實(shí)現(xiàn)，可以說(shuō)電子政務(wù)是政府管理方式的一次革命，可以在最大程度上發(fā)揮政府的職能。安全體系結(jié)構(gòu)是對(duì)電子政務(wù)系統(tǒng)安全功能的一個(gè)抽象的描述，是安全服務(wù)、安全管理、以及安全機(jī)制、安全策略的一個(gè)概括性的概念。它為政府機(jī)關(guān)受理各種申請(qǐng)、投訴以及意見(jiàn)建議提供了方便快捷的快速通道。

2 電子政務(wù)系統(tǒng)的信息安全現(xiàn)狀以及面臨的威脅

電子政務(wù)系統(tǒng)因?yàn)樯婕罢畽C(jī)密以及一些敏感信息，雖然為政府機(jī)關(guān)接受、發(fā)布以及處理信息提供了便利，但是其自身特點(diǎn)也決定了它容易受到內(nèi)部的破壞以及外部的入侵，包括修改、偽造、病毒等主動(dòng)的攻擊以及竊取、截獲、破譯等被動(dòng)的攻擊。尤其是電子政務(wù)系統(tǒng)是基于互聯(lián)網(wǎng)那個(gè)的網(wǎng)絡(luò)平臺(tái)，這是一個(gè)無(wú)行政無(wú)主管的全球性的網(wǎng)絡(luò)，這也就使得其自身安全隱患眾多，自身設(shè)防薄弱，使得犯罪分子有機(jī)可乘，因此可以說(shuō)電子政務(wù)系統(tǒng)的安全問(wèn)題面臨著嚴(yán)峻的考驗(yàn)。電子政務(wù)系統(tǒng)面臨的安全威脅可以分為以下幾個(gè)大類(lèi)。

2.1 安全風(fēng)險(xiǎn)

電子政務(wù)系統(tǒng)基于互聯(lián)網(wǎng)，因此，其搭建所用的物理設(shè)施即面對(duì)相應(yīng)的物理風(fēng)險(xiǎn)，諸如火災(zāi)、地震等不可抗拒的因素將直接破壞電子政務(wù)系統(tǒng)的各類(lèi)基礎(chǔ)設(shè)施，導(dǎo)致數(shù)據(jù)損壞、數(shù)據(jù)缺失，甚至可以導(dǎo)致整體存儲(chǔ)數(shù)據(jù)以及備份數(shù)據(jù)全部丟失，造成不可估量、不可挽救的后果。另外，存儲(chǔ)設(shè)備、計(jì)算機(jī)設(shè)備、傳輸設(shè)備等所需介質(zhì)的老化以及損壞同樣對(duì)電子政務(wù)系統(tǒng)的數(shù)據(jù)會(huì)造成破壞。其次，在信息的存儲(chǔ)、傳輸、處理以及維護(hù)過(guò)程中，由于人為的因素影響到所存儲(chǔ)的信息的準(zhǔn)確性、完整性以及可用性。比如，工作人員操作失誤的同時(shí)軟件自身缺乏合理性的驗(yàn)證將直接導(dǎo)致處理結(jié)果錯(cuò)誤。傳輸過(guò)程中地址被修改直接破壞數(shù)據(jù)準(zhǔn)確性。安裝維護(hù)處理不當(dāng)直接引發(fā)系統(tǒng)錯(cuò)誤等等由于使用者及維護(hù)者的操作不當(dāng)引起的人為損壞。再次，內(nèi)部、外部人員有意損壞系統(tǒng)組件、蓄意備份、更改及銷(xiāo)毀信息數(shù)據(jù)、植入病毒木馬等等也將直接影響信息的完整與準(zhǔn)確，并且后果嚴(yán)重，損失巨大。最后，是來(lái)自管理上的風(fēng)險(xiǎn)，即便有再好的安全防護(hù)措施，如果管理不當(dāng)依舊會(huì)影響其性能，例如對(duì)密碼口令的管理不當(dāng)可能導(dǎo)致數(shù)據(jù)丟失、密碼泄露等隱患的存在。管理制度的不完善也將造成電子政務(wù)系統(tǒng)的無(wú)秩序運(yùn)行，影響辦公效率。安全崗位與職責(zé)規(guī)定不明確也會(huì)導(dǎo)致不能及時(shí)發(fā)現(xiàn)安全故障及隱患。甚至于設(shè)備采購(gòu)人員如未按照規(guī)定采購(gòu)配備有認(rèn)證以及許可的產(chǎn)品，也會(huì)容易引發(fā)系統(tǒng)數(shù)據(jù)安全問(wèn)題。

2.2 安全威脅

首先，由于每個(gè)用戶(hù)的水平不一致，一些使用者的誤操作會(huì)使得電子政務(wù)系統(tǒng)存在安全隱患。其次，單個(gè)個(gè)體的惡意破壞會(huì)使電子政務(wù)系統(tǒng)數(shù)據(jù)遭到破壞，進(jìn)而影響日后的工作。再次，是來(lái)自黑客組織的威脅，由于黑客擁有很強(qiáng)的計(jì)算能力以及攻擊能力，會(huì)對(duì)電子政務(wù)系統(tǒng)構(gòu)成強(qiáng)有力的威脅，這些犯罪集團(tuán)甚至可能是與政府機(jī)關(guān)的軟硬件提供商或者相關(guān)的合作伙伴，這就使得電子政務(wù)系統(tǒng)更容易遭受破壞。最后，是國(guó)家層面的，攻擊者的資源非常充沛，技術(shù)也非常精湛，很有可能不計(jì)較任何經(jīng)濟(jì)代價(jià)的調(diào)動(dòng)自身的國(guó)家資源來(lái)獲取以及破壞我國(guó)使用的電子政務(wù)系統(tǒng)，這種毀壞的代價(jià)是非常巨大而且可能無(wú)法挽回的。

2.3 系統(tǒng)建設(shè)面臨的安全問(wèn)題

首先，當(dāng)前有很多電子政務(wù)系統(tǒng)的建設(shè)結(jié)構(gòu)以及標(biāo)準(zhǔn)均不統(tǒng)一，互相之間缺乏溝通，沒(méi)有統(tǒng)一的規(guī)劃，因此在建設(shè)層面缺乏信息安全的保障體系。其次，系統(tǒng)軟件本身就缺乏安全性，設(shè)計(jì)的漏洞以及安全功能的缺失都會(huì)給危害因素留下隱患。而且計(jì)算機(jī)系統(tǒng)本身也存在著脆弱性，包括易被監(jiān)聽(tīng)竊聽(tīng)，無(wú)法抵御自然災(zāi)害，突然斷電的容災(zāi)策略差等等。再次，由于我國(guó)的安全信息設(shè)備以及技術(shù)大多依賴(lài)進(jìn)口產(chǎn)品，缺少自控權(quán)，也是存在了安全隱患。最后，安全問(wèn)題不只是技術(shù)層面，還包括管理層面，管理制度等防范機(jī)制的缺乏同樣給違規(guī)犯罪人員留下了可乘之機(jī)。

3 電子政務(wù)信息安全體系架構(gòu)

3.1 信息技術(shù)保障體系

電子政務(wù)系統(tǒng)的信息技術(shù)保障體系需要在不同的系統(tǒng)單元上配置與其相對(duì)應(yīng)的安全服務(wù)防范措施，每一種服務(wù)防范措施可以由一種或者多種的安全機(jī)制和手段來(lái)完成。不同的安全防范單元從不同的角度來(lái)做安全配置。

表1 可能采取的技術(shù)措施

3.2 組織管理保障體系

電子政務(wù)系統(tǒng)的組織管理保障體系包括了決策層、管理層和執(zhí)行層，如表2所示。決策層的責(zé)任人為決策重大安全事宜的領(lǐng)導(dǎo)小組，為最高決策人。管理層的主要責(zé)任人為信息安全管理辦公室，主要負(fù)責(zé)根據(jù)決策層的決定來(lái)規(guī)劃與協(xié)調(diào)安全方案、設(shè)置安全崗位。執(zhí)行層則是負(fù)責(zé)具體安全防護(hù)措施的工作小組，是信息安全工作的具體執(zhí)行人。

表2 電子政務(wù)系統(tǒng)的組織管理保障體系

3.3 規(guī)章制度保障體系

電子政務(wù)系統(tǒng)的規(guī)章制度保障體系主要包括與信息安全相關(guān)的標(biāo)準(zhǔn)保障體系、國(guó)家制定的法律法規(guī)以及各個(gè)政府機(jī)關(guān)自身制定的日常保障制度。安全保障體系包括應(yīng)用與工程安全標(biāo)準(zhǔn)、安全產(chǎn)品標(biāo)準(zhǔn)、安全評(píng)估標(biāo)準(zhǔn)等等。國(guó)家制定的法律法規(guī)包括《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《商用密碼管理?xiàng)l例》等等，這一系列的行業(yè)標(biāo)準(zhǔn)體系以及國(guó)家政策法規(guī)是政府機(jī)關(guān)日常信息安全工作的依據(jù)與保障。

4 結(jié)束語(yǔ)

電子政務(wù)系統(tǒng)在為政府機(jī)關(guān)提供方便快捷的信息發(fā)布、處理的同時(shí)，因其基于互聯(lián)網(wǎng)的特性決定了其必然存在各種安全漏洞與隱患。因此，電子政務(wù)系統(tǒng)的信息安全防范措施必須完善，涵蓋從決策層、管理層、執(zhí)行層逐級(jí)完善的安全體系結(jié)構(gòu)，以行業(yè)標(biāo)準(zhǔn)安全保障體系以及國(guó)家法律法規(guī)政策為依據(jù)，通過(guò)信息技術(shù)保障體系、組織管理保障體系、規(guī)章制度保障體系多個(gè)方面來(lái)確保電子政務(wù)系統(tǒng)的信息安全。

[1]秦天保.電子政務(wù)信息安全體系結(jié)構(gòu)研究[J].計(jì)算機(jī)系統(tǒng)應(yīng)用.2006-01-30.

[2]劉艷.關(guān)于電子政務(wù)信息安全管理體系建設(shè)的思考[J].電子世界. 2014-07-30.

[3]林樂(lè)堅(jiān)，林向民，許哲君.關(guān)于電子政務(wù)信息安全管理體系建設(shè)的幾點(diǎn)思考[J].海峽科學(xué).2010-11-15.

The analysis of e-government information security architecture

Li Junwei
(Minzu Normal College of Hebei,Chengde Hebei, 067000)

This paper describes the concept of e-government system, starting from the current situation of information security of e-government system, analyzes the risks and threats, must have given the framework of e-government system information security system of the E-government security system, improve system accuracy, the integrity and availability of data, which guarantee the government department work.

e-government; security architecture

李軍偉，女，1982年11月，河北唐山，本科，講師，研究方向：計(jì)算機(jī)教學(xué)、電子政務(wù)。

教育部人文社會(huì)科學(xué)研究青年基金項(xiàng)目：《政府信息資源共建共享的主體、模式與績(jī)效研究－－以河北省電子政務(wù)建設(shè)為例》，項(xiàng)目編號(hào)：12YJC630094。